Uvod v doas na OpenBSD

Ozadje

OpenBSD je alternativa sudoje doas, čeprav ne deluje na enak način kot sudo in zahteva nekaj konfiguracijo. To je kratica za "dedicated openbsd application subexecutor". OpenBSD 5.8, izdan leta 2015, je bil prvi, ki je vključeval doas. Ustvaril ga je Ted Unangst, potem ko je bil nezadovoljen s kompleksnostjo sudo in je imel težave s privzeto konfiguracijo sudo.

doasUkaz je preprost po svoji zasnovi in ne vsebuje napredne funkcije, potrebne za dodelan administratorjem infrastrukture. Za večino ljudi je več kot dovolj. Če ga potrebujete sudo, ga namestite pkg_add sudokot root.

Namestitev

OpenBSD različice 5.8 in novejše je doasvnaprej nameščen.

Konfiguracija

Če želite uporabnikom v skupini koles omogočiti dostop do doas, dodajte naslednje v /etc/doas.conf. Za urejanje te datoteke potrebujete root dostop.

permit :wheel

To bo vsem uporabnikom v skupini koles omogočilo izvajanje ukazov kot kateri koli uporabnik.

Če želite, da lahko uporabniki enkrat vnesejo svoje geslo, potem vam ga nekaj časa ni treba vnašati, uporabite to persistmožnost. Tukaj je primer, ki daje dovoljenja samo skupini koles:

permit persist :wheel

Namesto tega lahko uporabite to nopassmožnost, če želite, da jim nikoli ne bo treba vnašati svojega gesla:

permit nopass :wheel

Če želite, da ima uporabnik "mynewuser" skrbniške pravice, ga lahko dodate v skupino koles tako, da zaženete usermod -G wheel mynewuserkot root, ali dodate vrstico v svojo, /etc/doas.conftako da je videti nekako takole:

permit nopass :wheel
permit nopass mynewuser

Ta primer predvideva, da uporabnikom ni treba vnesti gesla pri uporabi doas. Če ga želite nastaviti tako, da je mynewuser dovoljeno izvajati ukaze samo kot uporabnik www, bi bila konfiguracija naslednja:

permit nopass :wheel
permit nopass mynewuser as www

Če želite, da lahko mynewuser z doasom uporablja samo ukaz "vim", uporabite naslednjo konfiguracijo:

permit nopass :wheel
permit nopass mynewuser as www cmd vim

Obstajajo tudi druge možnosti konfiguracije, vendar so tiste, ki so tukaj obravnavane, najpogostejše. Če želite prebrati več, lahko uporabite ukaz man doas.confza branje man strani doas.conf(5).

Testiranje konfiguracijskih datotek

Če želite preizkusiti konfiguracijsko datoteko, uporabite doas -C /etc/doas.confukaz. Če pozneje podate ukaz, npr. doas -C /etc/doas.conf vim, vam bo povedal, ali imate dovoljenje za izvajanje ukaza ali ne, ne da bi poskusili izvesti ukaz.

Uporaba

Uporabnik lahko zažene ukaz echo "test"kot root z uporabo ukaza: doas echo "test"

Uporabnik, ki ima dovoljenja za uporabo doas, da se povzdigne na uporabnika "www", lahko zažene ukaz vim /var/www/http/index.htmlkot uporabnik "www" z uporabo ukaza: doas -u www vim index.html To je uporabno za nekoga, ki upravlja spletni strežnik, vendar nima polnih dovoljenj superuporabnika.

Najboljše prakse

Zelo priporočljivo je, da uporabite dovoljenje namesto zavrnitve, kjer je to mogoče. Če uporabniku onemogočite uporabo določenega ukaza, se bo morda lahko izognil z uporabo nadomestne poti ali imena tega ukaza, če obstaja. Prav tako lahko kopirajo izvedljivo datoteko ukaza v svoj domači imenik in jo nato zaženejo in s tem premagajo vaš sistem dovoljenj.

Na splošno je bolje uporabiti doas kot su, ker nikomur ni treba deliti korenskega gesla. Ni možnosti, da bi ga nekdo spremenil, pozabil in zaklenil vse iz sistema, če vsak uporablja svoje geslo za root dostop. Dnevniki se hranijo v /var/log/secure.

Namigi in triki

Vse spremenljivke okolja lahko obdržite z Keepenv, kar je uporabno, če imate urejevalnik nastavljen na nekaj in ne želite, da se to spremeni, ko postanete drug uporabnik. Tukaj je primer z mynewuser:

permit nopass keepenv mynewuser

Včasih obstajajo situacije, ko lahko prepisovanje vsake spremenljivke okolja pokvari stvari, toda s setenv lahko izbirate, katere želite prenesti. Tukaj je primer, ki bo vaš urejevalnik ohranil nastavljen na karkoli želite za uporabo z git in nekaterimi drugimi stvarmi.

permit nopass setenv { VISUAL EDITOR } mynewuser

Uporabite lahko tudi setenv za odstranitev spremenljivk okolja (tako, da pred vsako, ki jo želite odstraniti, postavite pomišljaj) ali jih nastavite na določene stvari z znakom enakosti. Če bi na primer želeli, da odstrani spremenljivko okolja VISUAL in nastavi EDITOR na vim, bi uporabili to konfiguracijsko vrstico:

permit nopass setenv { -VISUAL EDITOR=vim } mynewuser

Če si doasje zapomnil vaše geslo, lahko storite doas -L, da ga pozabi.